Site Logo

Verbraucher und Einzelhändler – halten Sie Ausschau nach diesen Angriffen zum Jahresende

Themen:
10. Dez.. 2021
|
Christine Barry

Kriminelle sind das ganze Jahr über aktiv, aber Cyberangriffe steigen während der Weihnachtszeit stark an. Es gibt nichts Neues oder Aufregendes an den Gründen für diesen Anstieg, außer der Tatsache, dass Online-Shopping weiter wächst und Angreifer auf gefährdete Bevölkerungsgruppen abzielen. Einzelhändler und Käufer sind während der Weihnachtseinkaufszeit besonders gefährdet, da es müde Käufer eilig haben und mehr über das Geschenk und weniger über die Transaktion nachdenken. Einzelhändler stehen unter dem Druck, genau Bestand zu führen, Verbraucherdaten zu schützen und Omnichannel-Abläufe auf höchstem Leistungsniveau zu halten. In dieser Umgebung können Fehler und ein Angriff leicht unbemerkt bleiben.

Das Better Business Bureau (BBB) hat eine Liste mit „12 Weihnachtsbetrügereien“ veröffentlicht, in der die wahrscheinlich häufigsten Betrugsfälle dieser Jahreszeit aufgeführt sind. Hier sind einige der wichtigsten Betrugsszenarien:

Irreführende Social-Media-Anzeigen: Diese Anzeigen werben für gefälschte Produkte und Dienstleistungen oder rufen zu Spenden auf. Die Opfer überweisen Geld, ohne zu merken, dass das Unternehmen gefälscht ist oder dass es sich bei den Produkten um minderwertige Fälschungen handelt, die sich von der Werbung unterscheiden. Die BBB verfügt über Ressourcen für irreführende Anzeigenkostenlose Testangebote und gefälschte Waren, also überprüfen Sie dies, bevor Sie eine Transaktion tätigen.

Warnungen über kompromittierte Konten: Diese E-Mails sind so gestaltet, dass sie wie Amazon, PayPal oder eine andere beliebte Website aussehen. Die Nachricht warnt die Empfänger vor verdächtigen Aktivitäten auf ihrem Konto und enthält einen Link zu einer ähnlich aussehenden Website, die die persönlichen Daten des Opfers ausspäht und möglicherweise Malware auf dem PC des Opfers installiert.

Brand Impersonation-Muster erfasst und analysiert von Barracuda Email Protection
 

Gefälschte Versandbenachrichtigungen: Diese folgen der gleichen Formel wie die Warnungen. Die Zielpersonen werden darüber informiert, dass eine Lieferung unterwegs ist oder verpasst wurde. Die Nachricht enthält einen bösartigen Link, dem das Opfer folgen soll, um Fehler zu beheben. Der Angreifer möchte, dass das Opfer den Kauf anfechtet, die Lieferung verfolgt oder eine andere Aktion durchführt, bei der es auf den bösartigen Link klickt. Dies ist ein zuverlässiger Betrug, den Angreifer jedes Jahr das ganze Jahr über verwenden.

Kompromittierte Einzelhändler


Neben den vom BBB identifizierten Betrugsfällen gibt es auch Angriffe, bei denen ein kompromittierter Einzelhändler genutzt wird, um an Zahlungsdaten oder andere persönliche Informationen zu gelangen:

Point-of-Sale (POS) Malware: Dies ist die Art von Angriff, die Target im Jahr 2013 getroffen hat. Angreifer installierten Malware auf dem POS-System, nachdem sie den Weg in das Netzwerk über einen HLK-Serviceanbieter gefunden hatten, der Zugriff auf das Geschäftsnetzwerk von Target hatte. Die Malware war auf den Diebstahl von Kreditkarteninformationen und die Weiterleitung an die Server der Hacker programmiert. Die Malware hat während der Weihnachtszeit 2013 40 Millionen Kunden Kredit- und Debitkarten erfasst. Der Verstoß gefährdete die personenbezogenen Daten von mehr als 60 Millionen Target-Kunden und kostete Target bis 2017 fast 300 Millionen US-Dollar. Saks Fifth Avenue, Saks OFF 5TH und Lord & Taylor erlebten 2018 ähnliche Angriffe, als das Zahlungssystem ihrer Muttergesellschaft angegriffen wurde.

Unsichere Webanwendungen: Einzelhändler verlassen sich auf E-Commerce, Live-Chat, Web-Portale und andere Webanwendungen, um mit Kunden und Lieferanten in Kontakt zu treten. Unsicherer Code und falsch konfigurierte Anwendungen gefährden das Unternehmensnetzwerk und die Person, die auf die Anwendung zugreift. Der Data Breach Investigations Report von Verizon (VDBIR) aus dem Jahr 2020 hat gezeigt, dass die Fehlkonfiguration von internetverbundenen Anlagen eine der am schnellsten wachsenden Bedrohungen ist, die zu Datenverletzungen führen. Einige Beispiele:

  • Macy's International wurde 2019 angegriffen, als ein unbefugter Dritter auf Macys.com unautorisierten Code hinzufügte.


„… der Code ermöglichte es Dritten, Zugang zu Informationen zu erhalten, die von Kunden sowohl auf der Macys.com-Kassenseite, auf der Kreditkartendaten eingegeben werden, als auch auf der Portemonnaie-Seite der Website, auf die über das Menü „Mein Konto“ zugegriffen wird, übermittelt wurden.“


  • Die Website von Adidas US wurde 2018 von einer „unbefugten Partei“ angegriffen. Dadurch wurden Kundendaten, einschließlich der Anmeldedaten, von „mehreren Millionen“ Adidas-Kunden preisgegeben.

  • Die Unternehmenswebseiten von Kay Jewelers und Jared the Galleria of Jewelry enthielten einen Fehler, durch den Informationen über online aufgegebene Bestellungen preisgegeben wurden. Kay und Jared sind im Besitz der Muttergesellschaft Signet Jewelers. Im Oktober 2021 hat Signet einen nahezu identischen Fehler auf der Website der Tochtergesellschaft Zales Jewelry behoben.


Schutz vor Angriffen zum Jahresende


Beispiele für E-Mail- und Webanwendungsangriffe sind keine „Feiertagsbedrohungen“, aber sie treten gehäuft während der Weihnachtszeit auf. Immer mehr Kunden nutzen die Webanwendungen und POS-Systeme des Einzelhandels, und die Einzelhändler versenden mehr E-Mails zu Transaktionen, Geschenkkarten und Produktangeboten.

Informieren Sie sich auf der BBB-Website über sicheres Online-Shopping und Tipps zur Vermeidung von Betrug. Einzelhändler und andere Unternehmen sollten vollständigen E-Mail-Schutz haben, der das Unternehmen vor Phishing, Domain-Betrug, Identitätsmissbrauch und mehr schützt. Schützen Sie Websites und andere öffentliche Anwendungen mit einer Web Application Firewall (WAF), die Bots, Datenlecks, OWASP Top 10 und andere Angriffe abwehrt.

Barracuda Email Protection und Barracuda WAF-as-a-Service können Einzelhändler und Verbraucher vor kriminellen Angriffen und menschlichem Versagen schützen. Einen kostenlosen Test erhalten Sie auf www.barracuda.com.

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
The alphabet soup of cloud protection
The alphabet soup of cloud protection
 E-Book: Das neue ABC der Anwendungssicherheit
E-Book: Das neue ABC der Anwendungssicherheit
 Verstehen der kommenden Trends in der Anwendungssicherheit und der neuen OWASP Top 10
Verstehen der kommenden Trends in der Anwendungssicherheit und der neuen OWASP Top 10
 What is Advanced Bot Protection?
What is Advanced Bot Protection?